7月17日午後は、
SEC高信頼化技術適用事例セミナー
D-Caseの適用事例に学ぶ、合意形成と説明責任
http://sec.ipa.go.jp/seminar/20150717.html
に行ってきた。その内容をメモメモ
事務局から
ごあいさつ
・2013年から先進的設計・検証
・事例→普及
必要な技術の紹介
適用事例
別視点から応用する
最近の動向
■D-CASEで高信頼性をどのように保障するか?~D-Case活用の基本パターン~
講師 名古屋大 山本先生
・話の内容
D-Caseの基礎知識
組み込み分野の適用例
D-Case活用法
・D-Caseの基礎知識
なにを保証するのか
どんな品質を保証するのか
どういうリスクを持っているのか
・安全性ケースの表現
保証ケース
GSN
拡張:モニターノード
安全性ケース
D-Case
・主張と証拠
証拠によって保障
・D-Caseの例
4つ 主張、前提(コンテクスト)、戦略、証拠
・D-Caseのメリットとその理由
ミス防止(抜け、漏れ)
思考の整理
開発期間短縮
・D-Caseの効果例
客観的に説明できているか
・第三者への説明責任の遂行
・D-Caseの基本概念
合意基準
説明対象が満たすべき特性の基準
D-Case
証拠におとづく説明によって、説明対象が合意基準を満足
説明
・合意記述の前提、記述境界、前提境界
コンテクストの境界を明確にする必要がある
・ディペンダビリティ属性の定義
ノードの日本語があいまいだと、あいまいのまま
・プロジェクトへのD-Case導入のミスマッチ
・組織の適合性評価手法
・組み込み分野の適合例
・論理参照モデル
ユーザー
ユーザーI/F
制御ソフトウェア
センサー
アクチュエーター
対象
・組み込みシステム参照モデルの分解パターンの例
・LAN機器監視システムの例
・話題沸騰ポット
組み込みはUSDMがよくつかわれる
→個別は出てくるけど、全体的要求は・・・
理由の間の依存関係を整理
・イプシロンロケットの監視問題
構成要素が安全
構成要素に依存関係があれば、依存関係が安全
・安全性ケースアーキテクチャ
再利用できる
戦略的にリファレンスモデルを決める
・論証プロセス
コンポーネント分解
パターン分解
証拠分解
・D-Case活用法
議論分解パターンの分類
議論パターンポケットガイド
アーキテクチャ分解パターン
非機能要求グレードの分解パターンの例→インデックスが定義されている
ECA分解
均衡分解パターン
FTAなどの違い
証拠があるかないか
MECEとの関係
MECEは網羅性がなぜ達成されているかを示していない
→コンテクストだけ
研修でISDを使う
経営戦略 BSCを使う→ビジネスゴール分解
セキュリティCC分解
医療情報システム安全管理のD-Case
■D-Caseを用いたゴール共有による開発プロセスの適用
講師:富士ゼロックスの人
・自己紹介
・背景
ソフトウェアはなかなか目に見えない→コミュニケーションが難しい
D-Caseをコミュニケーションツールに
・D-Caseとは
・適用プロジェクト(ETロボコン)
・本プロセス導入の背景
DEOSプロジェクト
・なぜD-Caseをコミュニケーションに使うのか
議論構造が分かりやすい
Strategyが他のものは明確ではない(例えばマインドマップ)
・試行したD-Case
1)トップゴールを定める
2)ゴールの詳細化と妥当性の議論
3)仮のエビデンスの抽出
4)エビデンスの獲得
5)D-Caseの追加・獲得
6)繰り返しによるD-Caseの構築
・トップゴールを定める
・ゴールの詳細化と妥当性の議論
コンテキストの追加
ゴールの分割
・仮のエビデンスの抽出
・エビデンスの獲得
WBSを使って普通に
仮のエビデンスがとれないケース→代替策
・D-Caseの追加・獲得
新しい知見の追加
・繰り返しによるD-Caseの構築
作っているものを分解しているだけにならないように
・D-Caseによるトレーサビリティ
【質問】
・D-Caseになれるには?
すぐにできる人と、子供の時からの考えなのか・・・・
■D-Caseで開発成果の品質をどのように説明するか?
~ソフトウェア開発現場におけるD-Case活用事例~
講師:デンソークリエイト
・安全分析の結果を第三者が納得できるように説明したい
・紹介する事例
リリース判断会議における活用事例
安全分析プロセスにおける活用事例
他社製品の品質判断における活用事例 AUTOSAR(おーとざ)
・リリース判断会議における活用事例
前提となる文書を整える
説明の構造を設計する
成果物を証拠にヒモづける
D-Caseで説明する
・安全分析プロセスにおける活用事例
ハザード分析
故障モード抽出
故障モード対策定義
D-Caseで説明
*CAN 車の中の車内LAN
第三者が納得するために必要なこと
全体像→戦略で
判断基準の見える化
対策の組み込み状況
他社製AUTOSAR PFに関する品質説明事例
シナリオベースで確認できる
【質問】
・ストラテジーの出し方
仕事できる人は、わかるみたいよ
・ストラテジーの根拠
根拠になった絵がある。それをコンテキストとしてストラテジーに張っておけばよかったね
■第三者検証における保障の見える化
~独立検証および妥当性確認(IV&V)における事例紹介~
講師:JAXAの人
・ソフトウェア品質
見えない
自由度高い
非尾tへの依存が高い
・宇宙機ソフトウェアの特徴
ロケット、人工衛星、宇宙ステーション、地上管制システム
・誤作動→損失
・動作環境過酷
・部品交換できない
・基本的に一品モノ
・運用環境で試験できない
・IV&V活動(ソフトウェア第三者検証)とは
・3つの問い
正しく振舞うか
意図しない振る舞い
不都合な事態
・アシュアランスケースをIV&V活動に導入し、
保証の見えるかを実施
・アシュアランスケースとは
トォールミンロジックとGSN
説明先← 主張 ←説明もと
記法としてGSNを応用
・課題
課題1:具体的に何を記述する?
→誰が誰に対して何を保証する
課題2:末端ノード増えすぎ
→論点だけ可視化
課題3:仕事増える
→過去資産を生かす
・活用ポイント
業務、意義
・促進方法
効果的なところ
・今の課題
活用:いかに早く過去のケースを参照
品質:ベースとなるケース
表現:より多くのステークホルダー→ビューが必要
■D-Case実用化に向けた活動の動向について
~日本の安全安心を世界で共有するために~
・D-Caseプロジェクト
JSTのDEOSプロジェクトの中
DEOS協会D-CASE部会
・アシュアランスケース
1990年代の北海油田事故などから
チェックリスト→エビデンスをもとにした議論
・アシュアランスケースの課題
いつ、誰が記述、評価するのか
ゴール、議論既往増
粒度、規模
・活用事例
50程度の試作 www.dcase.jp
規模
ノード 10~200、平均63 標準偏差47→てんでんばらばら
階層2~6、平均4 標準偏差1.03 だいたい3~4階層
状況ごとのD-CASEが増えている
・3種類の例
カメラ付きロボットのD-Case
フォールトトレランス
超小型人工衛星の蓄電システムのD-Case
三菱電機のパラメータのシミュレーションのD-Case
・傾向
FTA,FEMAなどの結果をまとめる:コスト大
状況ごとのD-Case
・これからのD-Case
状況ごとのD-Case
基本的な前提ゴールが共有されていない可能性のある利害関係者
状況に応じて前提、ゴールを設定
IPAの「ソフトウェア品質説明のための制度ガイドライン」
SEC高信頼化技術適用事例セミナー
D-Caseの適用事例に学ぶ、合意形成と説明責任
http://sec.ipa.go.jp/seminar/20150717.html
に行ってきた。その内容をメモメモ
事務局から
ごあいさつ
・2013年から先進的設計・検証
・事例→普及
必要な技術の紹介
適用事例
別視点から応用する
最近の動向
■D-CASEで高信頼性をどのように保障するか?~D-Case活用の基本パターン~
講師 名古屋大 山本先生
・話の内容
D-Caseの基礎知識
組み込み分野の適用例
D-Case活用法
・D-Caseの基礎知識
なにを保証するのか
どんな品質を保証するのか
どういうリスクを持っているのか
・安全性ケースの表現
保証ケース
GSN
拡張:モニターノード
安全性ケース
D-Case
・主張と証拠
証拠によって保障
・D-Caseの例
4つ 主張、前提(コンテクスト)、戦略、証拠
・D-Caseのメリットとその理由
ミス防止(抜け、漏れ)
思考の整理
開発期間短縮
・D-Caseの効果例
客観的に説明できているか
・第三者への説明責任の遂行
・D-Caseの基本概念
合意基準
説明対象が満たすべき特性の基準
D-Case
証拠におとづく説明によって、説明対象が合意基準を満足
説明
・合意記述の前提、記述境界、前提境界
コンテクストの境界を明確にする必要がある
・ディペンダビリティ属性の定義
ノードの日本語があいまいだと、あいまいのまま
・プロジェクトへのD-Case導入のミスマッチ
・組織の適合性評価手法
・組み込み分野の適合例
・論理参照モデル
ユーザー
ユーザーI/F
制御ソフトウェア
センサー
アクチュエーター
対象
・組み込みシステム参照モデルの分解パターンの例
・LAN機器監視システムの例
・話題沸騰ポット
組み込みはUSDMがよくつかわれる
→個別は出てくるけど、全体的要求は・・・
理由の間の依存関係を整理
・イプシロンロケットの監視問題
構成要素が安全
構成要素に依存関係があれば、依存関係が安全
・安全性ケースアーキテクチャ
再利用できる
戦略的にリファレンスモデルを決める
・論証プロセス
コンポーネント分解
パターン分解
証拠分解
・D-Case活用法
議論分解パターンの分類
議論パターンポケットガイド
アーキテクチャ分解パターン
非機能要求グレードの分解パターンの例→インデックスが定義されている
ECA分解
均衡分解パターン
FTAなどの違い
証拠があるかないか
MECEとの関係
MECEは網羅性がなぜ達成されているかを示していない
→コンテクストだけ
研修でISDを使う
経営戦略 BSCを使う→ビジネスゴール分解
セキュリティCC分解
医療情報システム安全管理のD-Case
■D-Caseを用いたゴール共有による開発プロセスの適用
講師:富士ゼロックスの人
・自己紹介
・背景
ソフトウェアはなかなか目に見えない→コミュニケーションが難しい
D-Caseをコミュニケーションツールに
・D-Caseとは
・適用プロジェクト(ETロボコン)
・本プロセス導入の背景
DEOSプロジェクト
・なぜD-Caseをコミュニケーションに使うのか
議論構造が分かりやすい
Strategyが他のものは明確ではない(例えばマインドマップ)
・試行したD-Case
1)トップゴールを定める
2)ゴールの詳細化と妥当性の議論
3)仮のエビデンスの抽出
4)エビデンスの獲得
5)D-Caseの追加・獲得
6)繰り返しによるD-Caseの構築
・トップゴールを定める
・ゴールの詳細化と妥当性の議論
コンテキストの追加
ゴールの分割
・仮のエビデンスの抽出
・エビデンスの獲得
WBSを使って普通に
仮のエビデンスがとれないケース→代替策
・D-Caseの追加・獲得
新しい知見の追加
・繰り返しによるD-Caseの構築
作っているものを分解しているだけにならないように
・D-Caseによるトレーサビリティ
【質問】
・D-Caseになれるには?
すぐにできる人と、子供の時からの考えなのか・・・・
■D-Caseで開発成果の品質をどのように説明するか?
~ソフトウェア開発現場におけるD-Case活用事例~
講師:デンソークリエイト
・安全分析の結果を第三者が納得できるように説明したい
・紹介する事例
リリース判断会議における活用事例
安全分析プロセスにおける活用事例
他社製品の品質判断における活用事例 AUTOSAR(おーとざ)
・リリース判断会議における活用事例
前提となる文書を整える
説明の構造を設計する
成果物を証拠にヒモづける
D-Caseで説明する
・安全分析プロセスにおける活用事例
ハザード分析
故障モード抽出
故障モード対策定義
D-Caseで説明
*CAN 車の中の車内LAN
第三者が納得するために必要なこと
全体像→戦略で
判断基準の見える化
対策の組み込み状況
他社製AUTOSAR PFに関する品質説明事例
シナリオベースで確認できる
【質問】
・ストラテジーの出し方
仕事できる人は、わかるみたいよ
・ストラテジーの根拠
根拠になった絵がある。それをコンテキストとしてストラテジーに張っておけばよかったね
■第三者検証における保障の見える化
~独立検証および妥当性確認(IV&V)における事例紹介~
講師:JAXAの人
・ソフトウェア品質
見えない
自由度高い
非尾tへの依存が高い
・宇宙機ソフトウェアの特徴
ロケット、人工衛星、宇宙ステーション、地上管制システム
・誤作動→損失
・動作環境過酷
・部品交換できない
・基本的に一品モノ
・運用環境で試験できない
・IV&V活動(ソフトウェア第三者検証)とは
・3つの問い
正しく振舞うか
意図しない振る舞い
不都合な事態
・アシュアランスケースをIV&V活動に導入し、
保証の見えるかを実施
・アシュアランスケースとは
トォールミンロジックとGSN
説明先← 主張 ←説明もと
記法としてGSNを応用
・課題
課題1:具体的に何を記述する?
→誰が誰に対して何を保証する
課題2:末端ノード増えすぎ
→論点だけ可視化
課題3:仕事増える
→過去資産を生かす
・活用ポイント
業務、意義
・促進方法
効果的なところ
・今の課題
活用:いかに早く過去のケースを参照
品質:ベースとなるケース
表現:より多くのステークホルダー→ビューが必要
■D-Case実用化に向けた活動の動向について
~日本の安全安心を世界で共有するために~
・D-Caseプロジェクト
JSTのDEOSプロジェクトの中
DEOS協会D-CASE部会
・アシュアランスケース
1990年代の北海油田事故などから
チェックリスト→エビデンスをもとにした議論
・アシュアランスケースの課題
いつ、誰が記述、評価するのか
ゴール、議論既往増
粒度、規模
・活用事例
50程度の試作 www.dcase.jp
規模
ノード 10~200、平均63 標準偏差47→てんでんばらばら
階層2~6、平均4 標準偏差1.03 だいたい3~4階層
状況ごとのD-CASEが増えている
・3種類の例
カメラ付きロボットのD-Case
フォールトトレランス
超小型人工衛星の蓄電システムのD-Case
三菱電機のパラメータのシミュレーションのD-Case
・傾向
FTA,FEMAなどの結果をまとめる:コスト大
状況ごとのD-Case
・これからのD-Case
状況ごとのD-Case
基本的な前提ゴールが共有されていない可能性のある利害関係者
状況に応じて前提、ゴールを設定
IPAの「ソフトウェア品質説明のための制度ガイドライン」